Si OS X et iOS étaient plutôt protégés face aux problèmes de sécurité, on peut dire que les choses ont bien changé ces dernières années. C’est encore une fois démontré par une équipe de 6 chercheurs venant de plusieurs universités américaines qui ont publié un rapport dans lequel ils expliquent avoir découvert une séries de failles mettant en danger les mots de passe des utilisateurs.

Ces vulnérabilités affectent le Trousseau d’OS X et d’iOS. Les chercheurs auraient réussi à faire valider des malwares par le Mac App Store et ces logiciels vérolés parvenaient sans difficulté à récupérer des mots de passe stockés dans le Trousseau d’Apple. Dénomée XARA (Cross-App Ressource Access Attacks), cette faille affecte de nombreux services et logiciels qui ont été listés par les chercheurs. On y retrouve notamment LastPass, Dropbox, Mail, Facebook ou encore Instagram pour ne citer qu’eux.

Cette faille a rapidement été remontée à Apple en octobre 2014 qui a indiqué avoir besoin de plusieurs mois pour colmater la brêche. Les chercheurs ont précisé qu’ils allaient attendre 6 mois avant de publier leurs travaux et réveler cette faille. Toujours d’après eux, le problème est toujours présent dans OS X 10.10.3 et dans iOS 8.3. Les éditeurs de logiciels sont toujours en attente d’un correctif. De son côté, Google a purement et simplement désactivé le fonctionnement du Trousseau avec son navigateur Chrome.

Source